Apple a oublié de désinfecter le champ Numéro de téléphone pour les AirTags perdus

Agrandir / Les AirTags d’Apple, comme on le voit accrochés à un sac à dos, ci-dessus, permettent aux utilisateurs d’essayer de trouver leur propre appareil via la retransmission de localisation à partir d’autres utilisateurs Apple. Si tout le reste échoue, l’utilisateur peut activer un “mode perdu” destiné à afficher son numéro de téléphone lorsqu’un chercheur scanne l’AirTag manquant.

Les succès continuent d’arriver au programme de bug-bounty d’Apple, qui, selon les chercheurs en sécurité, est lent et incohérent pour répondre à ses rapports de vulnérabilité.

Cette fois, le vuln du jour est dû à l’échec de la désinfection d’un champ de saisie utilisateur, en particulier le champ de numéro de téléphone que les propriétaires d’AirTag utilisent pour identifier leurs appareils perdus.

L’attaque du bon samaritain

Les AirTags sont de minuscules appareils ressemblant à des boutons qui peuvent être personnalisés avec une gravure et attachés à des appareils facilement perdus, directement ou via
Agrandir / Les AirTags sont de minuscules appareils ressemblant à des boutons qui peuvent être personnalisés avec une gravure et attachés à des appareils facilement perdus, soit directement, soit via des supports en “boucle”.

Le consultant en sécurité et testeur d’intrusion Bobby Rauch a découvert que les AirTags d’Apple, de minuscules appareils qui peuvent être apposés sur des objets fréquemment perdus comme des ordinateurs portables, des téléphones ou des clés de voiture, ne nettoient pas les entrées des utilisateurs. Cet oubli ouvre la porte à l’utilisation d’AirTags dans une attaque de chute. Au lieu d’ensemencer le parking d’une cible avec des clés USB chargées de logiciels malveillants, un attaquant peut déposer un AirTag préparé de manière malveillante.

Ce type d’attaque ne nécessite pas beaucoup de savoir-faire technologique – l’attaquant tape simplement un XSS valide dans le champ du numéro de téléphone de l’AirTag, puis met l’AirTag en mode Perdu et le dépose quelque part où la cible est susceptible de le trouver. En théorie, l’analyse d’un AirTag perdu est une action sûre – elle est uniquement censée afficher une page Web à l’adresse https://found.apple.com/. Le problème est que found.apple.com intègre ensuite le contenu du champ du numéro de téléphone dans le site Web tel qu’il est affiché sur le navigateur de la victime, non nettoyé.

Lire aussi  Tellement heureux de vous voir : notre cerveau réagit émotionnellement aux visages que nous trouvons dans des objets inanimés, révèle une étude | Nouvelles de l'Australie

Le moyen le plus évident d’exploiter cette vulnérabilité, selon Rauch, consiste à utiliser un simple XSS pour afficher une fausse boîte de dialogue de connexion iCloud sur le téléphone de la victime. Cela ne prend pas du tout beaucoup de code :

Si found.apple.com intègre innocemment le XSS ci-dessus dans la réponse pour un AirTag scanné, la victime obtient une fenêtre contextuelle qui affiche le contenu de badside.tld/page.html. Il peut s’agir d’un exploit zero-day pour le navigateur ou simplement d’une boîte de dialogue de phishing. Rauch émet l’hypothèse d’une fausse boîte de dialogue de connexion iCloud, qui peut ressembler à la vraie chose, mais qui vide les informations d’identification Apple de la victime sur le serveur de la cible à la place.

Bien qu’il s’agisse d’un exploit convaincant, ce n’est en aucun cas le seul disponible – à peu près tout ce que vous pouvez faire avec une page Web est sur la table et disponible. Cela va du simple hameçonnage, comme le montre l’exemple ci-dessus, à l’exposition du téléphone de la victime à une vulnérabilité de navigateur sans clic zéro jour.

Des détails plus techniques et des vidéos simples affichant à la fois la vulnérabilité et l’activité réseau engendrée par l’exploit de Rauch de la vulnérabilité sont disponibles lors de la divulgation publique de Rauch sur Medium.

Cette divulgation publique présentée par Apple

Selon un rapport de Krebs sur la sécurité, Rauch divulgue publiquement la vulnérabilité en grande partie due aux échecs de communication d’Apple, un refrain de plus en plus courant.

Lire aussi  Une étude examine l'exactitude des données d'arrestation dans la base de données criminelles NIBRS du FBI

Rauch a déclaré à Krebs qu’il avait initialement divulgué la vulnérabilité en privé à Apple le 20 juin, mais pendant trois mois, tout ce que la société lui a dit, c’est qu’elle “enquêtait toujours”. C’est une réponse étrange pour ce qui semble être un bogue extrêmement simple à vérifier et à atténuer. Jeudi dernier, Apple a envoyé un e-mail à Rauch pour lui dire que la faiblesse serait corrigée dans une prochaine mise à jour, et il lui a demandé de ne pas en parler publiquement entre-temps.

Apple n’a jamais répondu aux questions de base posées par Rauch, telles que s’il avait un calendrier pour corriger le bogue, s’il prévoyait de le créditer pour le rapport et s’il serait admissible à une prime. Le manque de communication de Cupertino a incité Rauch à rendre public sur Medium, malgré le fait qu’Apple demande aux chercheurs de garder le silence sur leurs découvertes s’ils veulent un crédit et/ou une compensation pour leur travail.

Rauch a exprimé sa volonté de travailler avec Apple, mais a demandé à la société de “fournir des détails sur le moment où vous prévoyez de remédier à cela, et s’il y aurait une reconnaissance ou un paiement de prime de bogue”. Il a également averti la société qu’il prévoyait de publier dans 90 jours. Rauch dit que la réponse d’Apple était “essentiellement, nous vous serions reconnaissants si vous ne le divulguiez pas”.

Nous avons contacté Apple pour commentaires et nous mettrons à jour ici avec toute réponse.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Recent News

Editor's Pick